之前我在實作時有測試過CSP可以防止hacker inject javascript
可是昨日在測試時發現現在完全無法抓包javascript injection了,有人知道為什麼嗎?
測試方法:
$("#id").append("<script>alert('xss')</script>");
先前結果:
CSP report
目前測試結果:
顯示xss
CSP header:
Content-Security-Policy-Report-Only: default-src 'self'; img-src 'self' data:;
child-src 'none';object-src 'none'; script-src 'self' 'unsafe-eval';style-src
'self' 'unsafe-inline';report-uri csp_report;
請問大大CSP協定是不是有做什麼更動,因為Chrome跟Firefox的反應都一樣,還是我哪裡
寫錯了。。。
煩請大大指教
手機排版傷眼先抱歉><